Mam nadzieję, że wszyscy zaktualizowaliście WordPressa do wersji 4.7.2 (lub nowszej), zwłaszcza, jeśli korzystacie z wersji 4.7 lub 4.7.1, czyli podatnej na atak z wykorzystaniem REST API, o czym niedawno pisałem…

Jeśli nie, to być może Wasza strona jest już wśród licznych „szczęśliwców”, którzy wygrali „darmową infekcję swojej strony” (a być może i komputerów swoich czytelników/użytkowników).

WordPress REST API i pierwsze ofiary

Jak można przeczytać na blogu Sucuri i zobaczyć w Google mamy już pierwsze ofiary – i to liczone w setkach tysięcy. Poniżej przykłady z Google tylko na 2 z kilku zapytań jakie można wyszukać:

223 000 + 28 200 wyników robi wrażenie, nawet jeśli uznać, że tylko część z nich to faktycznie zarażone strony…

Google Search Console Team

Dostałem też kilka wiadomości od Google Search Console Team, w których pojawia się „zachęta to pilnej aktualizacji” WordPressa:

Wykryliśmy, że Twoja witryna korzysta z WordPress 4.7.0 or 4.7.1, czyli starszej wersji WordPress. Nieaktualne lub pozbawione poprawek oprogramowanie może być celem ataku, a luki w jego zabezpieczeniach może wykorzystać złośliwe oprogramowanie, działając na szkodę potencjalnym gościom Twojej witryny. Zalecamy jak najszybciej zaktualizować oprogramowanie witryny.

Na szczęście – przynajmniej dla mnie – nie są to (już) witryny którymi aktualnie się zajmuję, a wiadomości dostałem, bo niektóre z nich zostały (nadal) na moim koncie Google Search Console (dawne Narzędzia dla Webmasterów, Google Webmasters Tools).

Na szczęście – tym razem dla byłych klientów – większość tych stron cały czas jest ukrytych za CloudFlare, dzięki czemu tym razem brak aktualizacji zapewne się im upiecze, przynajmniej jeśli chodzi o błąd związany z REST API.

WordPress REST API

Oddzielny akapit należy się dla ekipy odpowiedzialnej za WordPressa, i nie będą tym razem to podziękowania – rozumiem, że nowa odsłona REST API, jaka pojawiła się z WordPressem 4.7 to nowe możliwości, zwłaszcza w kontekście integracji z zewnętrznymi narzędziami, ale ten przypadek doskonale pokazuje, że wprowadzając tak potężne narzędzia warto się dobrze zastanowić. A już na pewno można było – przynajmniej na początku – dać to jako opcję do ręcznej aktywacji (ew. też jakąś regułę do wykorzystania w wp-config.php, by móc wyłączyć/zablokować REST API).

Oczywiście nie mam dostępu do statystyk, i nie wiem jaki procent użytkowników WordPressa faktycznie korzysta z REST API, ale wydaje mi się, że – przynajmniej na razie – korzysta z tego niewielka grupa użytkowników, a na pewno mniejsza niż Ci, co nie zaktualizowali swoich stron i teraz możemy na nich trafić choćby w Google (choć oczywiście też są winni, bo aktualizacja była, i to całkiem szybko, zanim zostały wykryte próby wykorzystania podatności).

(!) Zgłoś błąd na stronie

Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!

Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)